聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Apache Ivy 中存在一个 XPath 盲注漏洞,可导致攻击者提取数据并访问仅限运行 Apache Ivy 的机器访问的敏感信息。
该漏洞位于 Apache Ivy 2.5.2以下版本中,当解析自身配置 Maven POMs时同时解析 XML 文件时就会触发,可导致外部文档下载和扩展任何实体引用。威胁行动者可利用该 XPath 盲注漏洞以不同方式操纵和执行 Ivy 或访问机器中的敏感信息。该漏洞是因为对XML外部实体引用的限制不当造成的。
Apache Ivy 是一款依赖管理器,负责解析项目依赖且是 Apache Ant 项目的一部分,通过使用 XML 文件定义项目依赖,列出构建项目的必要资源。该漏洞的CVE编号是CVE-2022-46751,CVSS 评分尚未给出。
Apache Ivy 2.5.2 版本发布
在 Aapche Ivy 版本2.5.2 之前,Apache Ivy 在解析 Maven POMs 和其它文件时都会进行DTD 处理。不过,新发布的Apache Ivy 2.5.2 版本已为除了 Maven POMs 以外的所有文件禁用了DTD 处理,仅允许包含用于处理现有 Maven POMs 的DTD 片段。
它们并非合法的 XML 文件但获得 Maven POMs 接受。Apache Ivy 是 Apache Ant 项目的一部分,负责自动化源自 Apache Tomcat 项目2000软件构建流程。
建议用户升级至最新版本Apache Ivy 2.5.2 来阻止漏洞遭利用。或者用户可使用 Java 系统属性来限制对外部DTD的处理。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
未修复的 Apache Tomcat 服务器传播 Mirai 僵尸网络恶意软件
Apache Superset 会话验证漏洞可导致攻击者访问未授权资源
【已复现】Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)安全风险通告
原文链接
https://gbhackers.com/apache-ivy-injection-flaw/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~